Activer l’ouverture de session de service pour les comptes d’identification

La meilleure pratique en matière de sécurité consiste à désactiver les sessions interactives interactives et distantes pour les comptes de service. Les équipes de sécurité au sein des organisations ont des contrôles stricts pour appliquer cette meilleure pratique pour empêcher le vol d’informations d’identification et les attaques associées.

System Center Operations Manager prend en charge le renforcement des comptes de service et ne nécessite pas l’octroi de l’autorisation d’ouverture de session localement pour plusieurs comptes requis pour prendre en charge Operations Manager.

La version antérieure des gestionnaires d’opérations autorise l’ouverture de session localement en tant que type de journal par défaut. Par défaut, Operations Manager utilise la Connexion du service. Cela entraîne les modifications suivantes :

• Le service d’intégrité utilise le service de type de journal par défaut. Pour la version d’Operations Manager 2016, elle était interactive.
• Les comptes d’action Operations Manager et les comptes de service disposent désormais de l’autorisation Se connecter en tant que service .
• Les comptes d’action et les comptes d’identification doivent disposer de l’autorisation Se connecter en tant que service pour exécuter MonitoringHost.exe. Plus d’informations

Modifications apportées aux comptes d’action Operations Manager

Les comptes suivants sont autorisés à se connecter en tant que service pendant l’installation d’Operations Manager et pendant la mise à niveau à partir des versions précédentes :

• Compte d’action du serveur d’administration

• Service de configuration System Center et comptes de service d’accès aux données System Center

• Compte d’action de l’agent

• Compte d'écriture de l'entrepôt de données

• Compte du lecteur de données

  

Après cette modification, tous les comptes d’identification créés par les administrateurs Operations Manager pour les packs d’administration (MPS) nécessitent le droit de connexion en tant que service , que les administrateurs doivent accorder.

Afficher le type de journal pour les serveurs d’administration et les agents

Vous pouvez afficher le type de connexion pour les serveurs d’administration et les agents à partir de la console Operations Manager.

Pour afficher le type de connexion pour les serveurs d’administration, accédez aux serveurs Administration>Operations Manager Products>Management.

Pour afficher le type de connexion des agents, accédez à Administration>Operations Manager Products>Agents.

Remarque

L’agent/passerelle n’est pas encore mis à niveau et indique le type de connexion Service dans la console. Une fois l’agent/la passerelle mis à niveau, le type de journal actuel s’affiche.

Activer l’autorisation de connexion de service pour les comptes d’identification

Effectuez les étapes suivantes :

1. Connectez-vous avec des privilèges d’administrateur à l’ordinateur à partir duquel vous souhaitez fournir l’autorisation Se connecter en tant que service à un compte d’identification.

2. Accédez à Outils d’administration et sélectionnez Stratégie de sécurité locale.

3. Développez la stratégie locale et sélectionnez Attribution des droits utilisateur.

4. Dans le volet droit, cliquez avec le bouton droit sur Se connecter en tant que service , puis sélectionnez Propriétés.

5. Sélectionnez Ajouter un utilisateur ou une option de groupe pour ajouter le nouvel utilisateur.

6. Dans la boîte de dialogue Sélectionner des utilisateurs ou des groupes , recherchez l’utilisateur que vous souhaitez ajouter et sélectionnez OK.

7. Sélectionnez OK dans les propriétés de connexion en tant que service pour enregistrer les modifications.

   

Remarque

Si vous effectuez une mise à niveau vers Operations Manager 2022 à partir d’une version précédente ou si vous installez un nouvel environnement Operations Manager 2022, suivez les étapes ci-dessus pour fournir une autorisation de connexion en tant que service aux comptes d’identification.

Modifier le type de journal pour un service d’intégrité

Si vous devez modifier le type de journal du service d’intégrité Operations Manager pour autoriser l’ouverture de session localement, configurez le paramètre de stratégie de sécurité sur l’appareil local à l’aide de la console Stratégie de sécurité locale.

Voici un exemple :

Dépannage

Si l’un des comptes d’identification dispose de l’autorisation Connexion en tant que service requise, une alerte critique basée sur un moniteur s’affiche. Cette alerte affiche les détails du compte d’identification, qui n’a pas d’autorisation de connexion en tant que service .

Sur l’ordinateur de l’agent, ouvrez l’Observateur d’événements. Dans le journal Operations Manager, recherchez l’ID d’événement 7002 pour voir le détail des comptes qui nécessitent l’autorisation Se connecter en tant que service.

Paramètre	Message
Nom de l’alerte	Le compte d’identification n’a pas demandé de type de connexion.
Description d'alerte	Le compte d’identification doit avoir le type de connexion demandé.
Contexte de l'alerte	Le service d’intégrité n’a pas pu se connecter, car le compte d’identification du groupe d’administration (nom du groupe) n’a pas reçu l’autorisation Se connecter en tant que service .
Monitor	(ajouter un nom de moniteur)

Fournissez l’autorisation Se connecter en tant que service aux comptes d’identification applicables, identifiés dans l’événement 7002. Une fois que vous avez fourni l’autorisation, l’ID d’événement 7028 apparaît et le moniteur passe à l’état sain.